sim-swap beveiliging 2fa fraude telefoonnummer

SIM-swap voorkomen: zo bescherm je je telefoonnummer in 2026

3 mei 2026 · privacydial.nl

SIM-swap is een aanval die in Nederland nog onderbelicht is, maar in 2026 stijgend voorkomt. Het werkt simpel en is verwoestend: een crimineel kaapt jouw telefoonnummer en leegt vervolgens je bankrekening voordat je er erg in hebt.

Dit artikel legt uit hoe SIM-swap technisch werkt in Nederland, welke beveiligingsmaatregelen KPN, Vodafone en T-Mobile/Odido bieden, en wat je vandaag kunt doen om jezelf te beschermen.

Wat is SIM-swap?

Stel: je nummer is +316 12345678 (jouw echte mobiele nummer). Op dat nummer staan geregistreerd:

Je SMS-2FA voor ABN AMRO, ING, Rabobank
Je crypto-exchange (Bitvavo, Binance, Kraken)
Je iCloud / Google Account recovery
Je WhatsApp-account
Je iDIN-verificatie voor overheidsdiensten

Een crimineel die jouw nummer kortstondig overneemt, kan in 30 minuten:

Inloggen op je e-mail (via SMS-recovery)
Inloggen op je bank (via SMS-2FA)
Geld overmaken naar zijn rekening
Crypto verkopen en uitcashen
WhatsApp-account overnemen voor verdere phishing van je contacten

Hoe doen ze het? Door zich voor te doen als jou bij je provider, vaak met data uit een eerdere data-lek (Postcode + geboortedatum + e-mail-adres = bewijs dat ‘echt jij’ bent voor een ongetrainde callcenter-medewerker).

Hoe vaak gebeurt het in Nederland?

Officiële cijfers zijn schaars. Fraudehelpdesk Nederland noteert enkele honderden meldingen per jaar (sterk stijgend sinds 2022). Werkelijke aantallen liggen vermoedelijk hoger — schaamte en niet-melden komen voor.

Schade per slachtoffer: typisch €5.000-€50.000, in extreme gevallen >€100.000 (cryptocurrency-aanvallen). Banken vergoeden lang niet altijd; SIM-swap valt vaak in een grijs gebied tussen “consumenten-grof-onzorgvuldig” en “bank-onvoldoende-beveiliging”.

Welke beveiligingen bieden de Nederlandse providers?

KPN.

Porteer-pin instelbaar via Mijn KPN-account (Account → Beveiliging)
4-cijferige PIN nodig bij elke porteer-actie of simkaart-wijziging
Bij twijfel: extra identiteitscheck via Mijn-app

Vodafone.

Porteer-pin via Mijn Vodafone
“Veilig porteren”-optie standaard aan voor nieuwe klanten sinds 2023
iDIN-verificatie aanvullend mogelijk

T-Mobile / Odido.

6-cijferige beveiligings-pin verplicht sinds 2024 voor wijzigingen
Notificatie per e-mail bij elke simkaart-wijziging
24-uurs cooldown op grote wijzigingen optioneel

Lebara, Lyca, Simyo (MVNO’s).

Minder geavanceerde beveiliging, vaak alleen e-mail-bevestiging
Geadviseerd: gebruik geen MVNO voor je hoofdnummer met 2FA-koppelingen

Concrete stappen die je nu kunt nemen

Stap 1: Stel een porteer-pin in bij je provider. Log in op je provider-account, zoek ‘beveiliging’ of ‘porteer-pin’, kies een 4-6 cijferige PIN. Onthoud deze (wachtwoordmanager). Geen 1234, geen geboortejaar.

Stap 2: Schakel SMS-2FA waar mogelijk uit. Gebruik:

Authenticator-apps: Aegis (open-source, gratis), Google Authenticator, 1Password
Hardware-keys: YubiKey, SoloKey — voor crypto en hoog-risico accounts
Passkeys waar ondersteund (iCloud Keychain, 1Password, Google Password Manager)

Banken die alleen SMS-2FA bieden: porteer-pin is je laatste verdediging.

Stap 3: Beperk publieke koppelingen tussen jouw naam en je 06.

Niet op publieke social media zetten
Niet op website / KvK-inschrijving (gebruik tweede nummer)
Niet in dating-app-bio
Niet op Marktplaats-advertenties

Een aanvaller die jouw nummer + naam + geboortedatum + adres weet, heeft alles wat hij nodig heeft voor SIM-swap social engineering. Een tweede nummer voor publieke contexten beperkt deze koppeling.

Stap 4: Activeer push-notificaties van je bank. Bij elke transactie boven €100 een directe push. Bij iets vreemds: zelf bellen via officieel nummer (op je pas), nooit terugbellen op nummer dat belde.

Stap 5: Houd herstel-opties van e-mail beveiligd. Je e-mail is vaak de master-key. Zet hardware-2FA op je Gmail/Outlook. Geen SMS-recovery — gebruik backup-codes (opgeslagen op papier in een kluis).

Stap 6: Documenteer je accounts. Hou een wachtwoordmanager met alle accounts die je hebt, dan kan je snel reageren bij incident (welke 2FA op welk nummer staat).

Welke rol speelt een tweede nummer (zoals PrivacyDial)?

Een tweede +31-nummer via een doorschakeldienst leeft niet op een fysieke simkaart in jouw telefoon. Het bestaat als een database-entry bij de aanbieder die binnenkomende oproepen doorstuurt. Concreet:

Een aanvaller kan je tweede nummer NIET via SIM-swap overnemen. Er is geen fysieke simkaart om over te zetten. Hij zou moeten inbreken in je PrivacyDial-account (geheiligd door Clerk-authenticatie met 2FA-mogelijkheid).

Je tweede nummer wordt gebruikt voor publieke contexten (Marktplaats, dating, formulieren) — waar het in databases belandt. Je echte 06 met de 2FA-koppelingen wordt minder bekend in publieke databases.

Het indirecte voordeel: een aanvaller die jouw publieke profielen scant, vindt het tweede nummer, niet je echte 06. Hij kan dat nummer niet ‘SIM-swappen’ (geen simkaart), en hij heeft het verkeerde nummer voor je banken.

Niet een vervanging voor porteer-pin op je echte 06 — wel een aanvullende laag die voorkomt dat aanvallers je echte nummer überhaupt weten.

Wat als het toch gebeurt?

Tijd is alles. Eerste 30 minuten = kritisch.

Ander toestel pakken — vraag familie, collega, buurman om hun telefoon
Bel je provider via het reguliere klantenservice-nummer en zeg “SIM-swap fraude vermoeden” — laat het nummer onmiddellijk pauzeren
Bel je bank via het officiële nummer op je bankpas — vraag transacties op te schorten
Verander wachtwoorden in volgorde: e-mail (master), bank, crypto, sociale media
Aangifte politie — bij financiële schade noodzakelijk voor vergoeding-aanvraag
Melding Fraudehelpdesk of 088-7867372
Bij overgemaakte bedragen >€500: snel contact met bank-fraude-team voor mogelijke terughaling (vaak alleen mogelijk binnen 24 uur)

Conclusie

SIM-swap is een onderschat risico voor wie z’n echte 06 gekoppeld heeft aan banken, crypto en e-mail. De Nederlandse providers bieden beveiligingen — porteer-pins — die je expliciet moet inschakelen. Authenticator-apps en hardware-keys zijn de sterkste 2FA-vormen.

Een tweede nummer voor publieke contexten (Marktplaats, dating, formulieren) reduceert de kans dat aanvallers überhaupt je echte 06 weten — een aanvullende laag in een gelaagde beveiliging. Bij PrivacyDial krijg je een echt Nederlands +31 nummer dat doorschakelt naar je eigen mobiel; je echte 06 blijft volledig buiten beeld van publieke contexten.

Zie ook Waarom je telefoonnummer privé houden essentieel is en Spam-telefoontjes blokkeren in Nederland.

Lees verder

Veelgestelde vragen

Wat is SIM-swap precies?

SIM-swap is wanneer een crimineel zich bij jouw mobiele provider voordoet als jou en je telefoonnummer naar een nieuwe simkaart in zijn eigen telefoon laat overzetten. Vanaf dat moment ontvangt hij alle oproepen en SMS — inclusief 2FA-codes voor je bank, crypto-exchanges en e-mail.

Hoe doet een crimineel dit zonder dat ik het weet?

Via social engineering: hij belt of bezoekt een providerwinkel met jouw NAW-gegevens (vaak gekocht op het dark web na een data-lek), claimt dat zijn simkaart kapot is en vraagt om een nieuwe op jouw nummer. Soms helpt een corrupte medewerker. In Nederland is dit zeldzaam vergeleken met VS, maar het komt voor.

Hoe merk ik dat ik SIM-swap-slachtoffer ben?

Plotselinge 'geen netwerk' op je telefoon zonder reden, geen inkomende oproepen of SMS meer, en bij inloggen op je bank zie je geen 2FA-codes binnenkomen. Vaak ontvang je ook een 'simkaart-wissel bevestiging'-SMS — die je net mist omdat je nummer al weg is.

Welke beveiliging biedt mijn provider tegen SIM-swap?

KPN, Vodafone en T-Mobile/Odido bieden allemaal een 'porteer-pin' of 'klant-pin' die nodig is bij elke nummer-wijziging of porteren. Niet standaard ingesteld — je moet er expliciet om vragen via je provider-account of klantenservice.

Is een doorgeschakeld tweede nummer veiliger tegen SIM-swap?

Ja, indirect. Je tweede nummer (van PrivacyDial) leeft niet op een fysieke simkaart in jouw telefoon, maar in een telecom-database. Aanvallers kunnen het niet via een providerwinkel overnemen. Je echte 06 met 2FA-codes blijft het risico — dáár wil je sterke bescherming op.

Wat doe ik direct als ik vermoed dat ik slachtoffer ben?

1) Bel je provider via een ander toestel (vraag familie/collega) en laat het nummer onmiddellijk blokkeren. 2) Bel je bank via het officiële nummer op je pas, laat overschrijvingen stilleggen. 3) Verander wachtwoorden van e-mail, bank, crypto-exchanges, sociale media. 4) Aangifte politie + melding Fraudehelpdesk.

Moet ik SMS-2FA helemaal uitzetten?

Waar mogelijk: ja. Gebruik authenticator-apps (Aegis, Google Authenticator, 1Password) of hardware-keys (YubiKey) in plaats van SMS-codes. Voor banken die alleen SMS-2FA bieden: minimaal porteer-pin instellen. Voor crypto: hardware-key verplicht stellen.

Klaar om je privacy te beschermen?

Echt +31 nummer, direct actief. Vanaf €4,99/mnd · incl. BTW.

Bekijk pakketten →

← Terug naar blog